NetWorker: AUTHC mislykkes med «unable to find valid certification path to requested target» (kan ikke finne gyldig sertifiseringsbane til forespurt mål) i et dc-miljø med ringdistribusjon
Samenvatting: Du forsøker å konfigurere AD over LDAPS-godkjenning (SSL) med NetWorker AUTHC. Etter at du har fulgt fremgangsmåten for å importere sertifikatet som kreves for SSL til Java/NRE cacerts-nøkkellageret, mottas det en feil under oppretting av den eksterne myndighetsressursen: Det oppstod en SSL-håndtrykkfeil under forsøk på å koble til LDAPS-serveren: finner ikke gyldig sertifiseringsbane til det forespurte målet. Denne kb-en er spesifikk for når ringdistribusjon brukes i DNS-/DC-konfigurasjonen. ...
Dit artikel is van toepassing op
Dit artikel is niet van toepassing op
Dit artikel is niet gebonden aan een specifiek product.
Niet alle productversies worden in dit artikel vermeld.
Symptomen
- Du prøver å integrere AD over SSL (LDAPS) med NetWorker AUTHC.
- Prosessen fra KB NetWorker: Slik konfigurerer du LDAPS-godkjenning har blitt fulgt
MERK: CA-sertifikatet fra AD-serveren må importeres til NetWorker JRE/NRE. /lib/sercurity/cacerts keystore for å etablere SSL-kommunikasjon mellom AUTHC og godkjenningsserveren.
- Konfigurasjonen mislykkes med:
ERROR [main] (DefaultLogger.java:222) - Error while performing Operation:
com.emc.brs.auth.common.exception.BRHttpErrorException: 400 . Server message: Failed to verify configuration CONFIG_NAME An SSL handshake error occurred while attempting to connect to LDAPS server: unable to find valid certification path to requested target
- Du bruker et alias for AD-serveren som kobles til forskjellige domenekontrollere i en ringdistribusjonskonfigurasjon.
Oorzaak
Det importerte sertifikatet er knyttet til ringdistribusjonsaliaset FQDN. Konfigurasjonen prøver imidlertid å binde SSL til en bestemt server i ringdistribusjonskonfigurasjonen.
For eksempel der «ad-ldap.emclab.local» er konfigurert i DNS som et ringdistribusjonsalias som peker til flere DC-verter i miljøet. Når du samler inn sertifikatet med openssl mens du bruker aliaset, returneres sertifikatet for en av vertene ("dc1.emclab.local") som er tilgjengelig via ringdistribusjon
[root@nsrserver: ~]# openssl s_client -showcerts -connect ad-ldap.emclab.local:636
Certificate chain
0 s:/CN=dc1.emclab.local
i:/DC=local/DC=emclab/CN=AUTH-CA01
-----BEGIN CERTIFICATE-----
**REMOVED**
-----END CERTIFICATE-----
---
Server certificate
subject=/CN=dc1.emclab.local
issuer=/DC=local/DC=emclab/CN=AUTH-CA01
Hvis sertifikatet importeres til JRE/NRE cacerts-nøkkellageret ved hjelp av ringdistribusjonsaliaset «ad-ldap.emclab.local», vil ikke konfigurasjonen kunne samsvare med «dc1.emclab.local» eller noen annen server i den runde robin-konfigurasjonen på grunn av manglende samsvar mellom navn.
Oplossing
Du kan bruke et ringdistribusjonsalias i LDAP-tilkoblinger (non-SSL ), da dette ikke bruker noen sertifikater og ikke vil resultere i en SSL-feil.
For å bruke SSL-godkjenning må sertifikataliaset samsvare med verten som det kobles til. Importer CA-sertifikatet for én av de spesifikke DC-vertene i ringdistribusjonskonfigurasjonen, og konfigurer NetWorker authc slik at det bare peker til domenekontrolleren for godkjenningsforespørsler. Du kan også importere sertifikatene for hver vert i den ringdistribusjons-DC-konfigurasjonen. Hvis det oppstår et problem med at verten først er konfigurert, kan du oppdatere konfigurasjonen slik at den peker til den andre domenekontrollerserveren som sertifikatet allerede er importert for.
Se: NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)
MERK: Ringdistribusjon kan konfigureres til forespørsler om belastningsfordeling i et miljø. Denne konfigurasjonen bruker flere DNS-oppføringer ved hjelp av samme FQDN, men peker på flere forskjellige verts-IP-er. Dette har vanligvis bruk i nettbaserte applikasjoner som kan behandle forespørsler fra flere forespørsler.
For å bruke SSL-godkjenning må sertifikataliaset samsvare med verten som det kobles til. Importer CA-sertifikatet for én av de spesifikke DC-vertene i ringdistribusjonskonfigurasjonen, og konfigurer NetWorker authc slik at det bare peker til domenekontrolleren for godkjenningsforespørsler. Du kan også importere sertifikatene for hver vert i den ringdistribusjons-DC-konfigurasjonen. Hvis det oppstår et problem med at verten først er konfigurert, kan du oppdatere konfigurasjonen slik at den peker til den andre domenekontrollerserveren som sertifikatet allerede er importert for.
Se: NetWorker: Slik konfigurerer du AD over SSL (LDAPS) fra NetWorker Web User Interface (NWUI)
Extra informatie
Getroffen producten
NetWorkerArtikeleigenschappen
Artikelnummer: 000187608
Artikeltype: Solution
Laatst aangepast: 23 mei 2025
Versie: 3
Vind antwoorden op uw vragen via andere Dell gebruikers
Support Services
Controleer of uw apparaat wordt gedekt door Support Services.